Module pw-sha2
Ce module permet à OpenLDAP de supporter les types de hash de mot de passe SHA256 et SHA512 (et leurs dérivés avec salt).
Installation
Il faut simplement charger le module pw-sha2 :
ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: pw-sha2 EOF
Utilisation
Une fois le module chargé, les mots de passe de type SHA256 / SSSHA256 et SHA512 / SSHA512 sont supportés comme les autres types de hash : les valeurs des attributs doivent être préfixées du type de hash, par exemple :
{SSHA512}2/Mzw+w7bja3CQHZP5XWfXuTj7BoHK7Be3WAEH4WxQ6Qw5fn2iNcOr8WeJNJQsYky7KbeF9e33IIB8zXGGxzC5cmVUw=
Pour hasher un mot de passe avec l'outil CLI
slappasswd
, il est nécessaire de charger explicitement ce module :
slappasswd -o module-load=pw-sha2 -h '{SSHA512}'
Un alias peut facilement être automatisé cela:
alias slappasswd='slappasswd -o module-load=pw-sha2 -h "{SSHA512}"'
Pour que les mots de passes hashés automatiquement par OpenLDAP (lors d'une modification via LDAP Password Modify Extended Operation ou accord par l'overlay ppolicy) soient en SSHA512 (par exemple), ajouter l'attribut
olcPasswordHash: {SSHA512}
dans l'objet olcDatabase={-1}frontend,cn=config.